Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

NIS2: La nuova Classificazione “Made In Italy” per gli Incidenti

Redazione RHC : 25 Marzo 2025 06:52

Autore: Dott. Luca Mella, Cyber Security Expert

In Italia, il Decreto Legislativo del 4 settembre 2024, n. 138, ha recepito tali adeguamenti, richiedendo a pubbliche amministrazioni e aziende private uno sforzo considerevole per conformarsi ai nuovi obblighi. Tra gli adempimenti principali per il 2025, oltre la registrazione, le organizzazioni a perimetro devono prepararsi a rispettare le nuove regole di notifica degli incidenti informatici.

In questo contesto, l’Agenzia per la Cybersicurezza Nazionale (ACN) ha introdotto la Tassonomia Cyber dell’ACN (TC-ACN), uno strumento fondamentale per uniformare la comunicazione degli incidenti e migliorare lo scambio di informazioni.

La “Tassonomia Cyber dell’ACN”


Distribuisci i nostri corsi di formazione diventando un nostro Affiliato

Se sei un influencer, gestisci una community, un blog, un profilo social o semplicemente hai tanta voglia di diffondere cultura digitale e cybersecurity, questo è il momento perfetto per collaborare con RHC Academy. Unisciti al nostro Affiliate Program: potrai promuovere i nostri corsi online e guadagnare provvigioni ad ogni corso venduto. Fai parte del cambiamento. Diffondi conoscenza, costruisci fiducia, genera valore.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


Proprio per facilitare l’adeguamento ai requisiti della NIS2, l’ACN ha rilasciato una nuova linea guida denominata “Tassonomia Cyber dell’ACN” (TC-ACN). L’obiettivo tanto semplice quanto ambizioso: armonizzare il lessico e rendere più efficaci le segnalazioni e lo scambio informativo in materia di sicurezza cibernetica, il tutto per arrivare al superando delle annose ambiguità con cui tutti, nel settore, siamo abituati combattere per via di più disparati ed eterogenei sistemi di classificazione.

Nata dall’analisi delle principali tassonomie internazionali (in particolare quelle di ENISA, MITRE e MISP) e calibrata sul contesto normativo italiano, la TC-ACN è uno strumento di caratterizzazione di eventi e incidenti che si distingue per:

  1. Esaustività: infatti, include un catalogo estremamente ampio di attributi (in totale 144) e 22 predicati raggruppati in 4 macrocategorie.
  2. Espressività: TC-ACN permette di descrivere in modo granulare la natura dell’evento, l’attore responsabile, le tecniche sfruttate per la compromissione e molte altre informazioni utili alla fase di incident response.
  3. Allineamento con le normative nazionali (PSNC, Codice delle Comunicazioni Elettroniche, ecc.) e con le responsabilità aggiuntive introdotte dalla NIS2.

Per cominciare ad inquadrare la potenza di questo nuovo framework, esploriamo le 4 macrocategorie della TC-ACN, ovvero i suoi elementi strutturali più di alto livello:

  • BC (Baseline Characterization): rappresenta il livello introduttivo dell’analisi, in cui si valutano l’entità dei danni, la natura dell’attacco e le componenti organizzative coinvolte.
  • TT (Threat Type): approfondisce gli elementi tecnici dell’incidente (ad esempio i vettori di infezione, le vulnerabilità sfruttate, le tipologie di malware).
  • TA (Threat Actor): identifica la “mano” dietro l’evento (gruppi criminali, singoli hacker, stati-nazione, insider malintenzionati, ecc.) e ne valuta motivazioni e competenze.
  • AC (Additional Context): fornisce ulteriori informazioni contestuali, come la classificazione dei sistemi colpiti, eventuali correlazioni con incidenti passati, strumenti di difesa implementati e possibili scenari di escalation.

Figura. Macrocategorie della TC-ACN

L’approccio della TC-ACN si discosta in modo sostanziale da quello delle precedenti tassonomia, tipicamente basate su categorizzazioni in classi, puntando a una profondità di analisi paragonabile a quella utilizzata per la classificazione delle vulnerabilità (pensiamo al CVSS), basata su vettori.

Questo consente di comporre diversi “pezzi” informativi in un unico “vettore di classificazione”, includendo:

  • L’impatto stimato su sistemi e dati (disponibilità, integrità, confidenzialità).
  • Le tecniche di attacco adottate (malicious code, phishing, exploit kit, privilege escalation).
  • L’attore e le sue motivazioni (es. crimine finanziario, spionaggio industriale, hacktivismo).
  • La prospettiva temporale e geografica dell’incidente.

Ad esempio, il vettore TC-ACN “BC:IM-DE BC:RO-MA BC:SE-HI BC:VG-IT” descrive un incidente che ha portato a una grave esposizione di dati sul territorio nazionale (come un data breach) causato da azioni malevole. Questo è solamente un esempio piuttosto semplice e si limita ai soli predicati della macrocategoria “Baseline Characterization”.

Come sfruttare la TC-ACN nella pratica?

L’Agenzia ha pubblicato la linea guida ufficiale sul sito acn.gov.it  e la sua adozione diventa cruciale su vari fronti:

  1. In primis, per ridurre i tempi di reazione, grazie a un linguaggio condiviso, i team di sicurezza riescono a comprendere immediatamente la natura e la gravità dell’evento, accelerando le contromisure;
  2. per migliorare la comunicazione con l’Autorità, avendo uno standard comune quando si notifica un incidente all’ACN o al CSIRT Italia, i dettagli forniti siano completi e correttamente inquadrati;
  3. ed infine per aumentare la conformità con la NIS2 e con le normative nazionali che richiedono la notifica degli incidenti in modo puntuale.

C’è da dire però, che la complessità della tassonomia, specie rispetto a metodi di classificazione più semplici (come quelli di ENISA), può creare iniziali difficoltà operative. A tal proposito, l’unità Cyber di Utilia SpA (società del Gruppo Società Gas Rimini) ha sviluppato e condiviso in modo gratuito uno strumento online che consente:

  • La generazione guidata dei cosiddetti “vettori incidente” secondo la tassonomia ACN, compilando passo a passo gli attributi richiesti.
  • L’esportazione delle informazioni in un formato adatto per la notifica all’ACN e al CSIRT, o per la condivisione interna tra i reparti di sicurezza.
  • L’aggiornamento costante dello strumento, integrando eventuali revisioni della tassonomia o nuove specifiche da parte dell’ACN.

In tal modo, le imprese che si apprestano a rispettare le prossime scadenze (dalla registrazione alla notifica obbligatoria) possono disporre di un supporto in grado di limitare il rischio di non conformità e agevolare la gestione degli incidenti.

Figura. Tool di Generazione Vettore TC-ACN (https://tassonomia-acn.utilia.it/ )

Conclusioni

Con la piena entrata in vigore della Direttiva NIS2, il panorama della cybersicurezza nazionale si appresta a un cambio di marcia. La Tassonomia Cyber dell’ACN funge da fulcro per la standardizzazione delle segnalazioni di incidenti, garantendo:

  • Maggiore chiarezza nella comunicazione tra enti, aziende e autorità.
  • Riduzione dei tempi di intervento e maggiore tempestività nella risposta agli attacchi.
  • Strutturazione e uniformità nel riportare i dati, utili anche per analisi di trend a livello sistemico.

Prepararsi con anticipo, studiando i predicati e i valori della tassonomia, e sfruttando i tool a disposizione, può fare la differenza nell’evitare sanzioni e nell’innalzare concretamente la soglia di sicurezza per gli attori coinvolti.

La TC-ACN rappresenta quindi non solo un adempimento normativo, ma una risorsa strategica per garantire la resilienza del tessuto digitale italiano, consolidando un vero e proprio linguaggio comune in grado di elevare gli standard di sicurezza informatica e di tutela dei servizi essenziali per la collettività.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Da AI white ad AI black il passo è breve. Nuovi strumenti per Script Kiddies bussano alle porte

I ricercatori di Okta  hanno notato che aggressori sconosciuti stanno utilizzando lo strumento di intelligenza artificiale generativa v0 di Vercel per creare pagine false che imitano qu...

Se è gratuito, il prodotto sei tu. Google paga 314 milioni di dollari per violazione dei dati agli utenti Android

Google è al centro di un’imponente causa in California che si è conclusa con la decisione di pagare oltre 314 milioni di dollari agli utenti di smartphone Android nello stato. Una giu...

CTF di RHC 2025. Ingegneria sociale in gioco: scopri la quarta “flag” non risolta

La RHC Conference 2025, organizzata da Red Hot Cyber, ha rappresentato un punto di riferimento per la comunità italiana della cybersecurity, offrendo un ricco programma di talk, workshop e compet...

Linux Pwned! Privilege Escalation su SUDO in 5 secondi. HackerHood testa l’exploit CVE-2025-32463

Nella giornata di ieri, Red Hot Cyber ha pubblicato un approfondimento su una grave vulnerabilità scoperta in SUDO (CVE-2025-32463), che consente l’escalation dei privilegi a root in ambie...

Hackers nordcoreani a libro paga. Come le aziende hanno pagato stipendi a specialisti IT nordcoreani

Il Dipartimento di Giustizia degli Stati Uniti ha annunciato la scoperta di un sistema su larga scala in cui falsi specialisti IT provenienti dalla RPDC i quali ottenevano lavoro presso aziende americ...